Documentación de Oracle Cloud Infrastructure

Visión general de la seguridad

La infraestructura y los servicios en la nube de Oracle proporcionan una seguridad eficaz y gestionable que permite ejecutar las cargas de trabajo más importantes y almacenar los datos con toda confianza.

La seguridad de Oracle Cloud Infrastructure (OCI) se basa en los siguientes pilares clave. Para cada pilar, OCI tiene varias soluciones que maximizan la seguridad y el cumplimiento de normativas de la plataforma en la nube.

AISLAMIENTO DEL CLIENTE
Permite desplegar los activos de aplicación y datos en un entorno totalmente aislado de otros inquilinos y del personal de Oracle.
CIFRADO DE DATOS
Protege los datos estáticos y en tránsito para cumplir los requisitos de seguridad y conformidad de los algoritmos criptográficos y la gestión de claves.
CONTROLES DE SEGURIDAD
Limita el acceso a sus servicios y segrega las responsabilidades operativas, con el fin de reducir el riesgo asociado a las acciones de usuario maliciosas y accidentales.
VISIBILIDAD
Proporciona datos de log completos y análisis de seguridad para auditar y supervisar acciones en sus recursos. Esta visibilidad le permite cumplir los requisitos de auditoría y reducir el riesgo operativo.
NUBE HÍBRIDA SEGURA
Permite utilizar sus activos de seguridad existentes, como cuentas de usuario y políticas. Permite utilizar soluciones de seguridad de terceros al acceder a los recursos en la nube y proteger los activos de aplicaciones y datos en la nube.
ALTA DISPONIBILIDAD
Proporciona centros de datos independientes de los fallos que permiten arquitecturas ampliables y de alta disponibilidad y que resisten ataques a la red.
INFRAESTRUCTURA CON SEGURIDAD VERIFICABLE
Sigue procesos rigurosos y utiliza controles de seguridad efectivos en todas las fases de desarrollo y operación del servicio en la nube. OCI se adhiere a los estrictos estándares de seguridad de Oracle a través de auditorías, certificaciones y acreditaciones de terceros. Nuestra infraestructura segura le ayuda a demostrar la preparación para el cumplimiento normativo a los equipos de seguridad interna y cumplimiento normativo, clientes, auditores y reguladores.

Oracle también cuenta con algunos de los expertos mundiales en seguridad de información, bases de datos, aplicaciones, infraestructuras y redes. Cuando utilizas OCI, te beneficias directamente de nuestra amplia experiencia e inversiones continuas en seguridad.

Consideraciones básicas de seguridad

Los siguientes principios son fundamentales para usar cualquier aplicación de manera segura. Siga estos pasos conforme planifique, desarrolle, despliegue y ejecute sus recursos en Oracle Cloud Infrastructure.

  • Mantener el software actualizado. Utilice la última versión del producto y cualquier parche relacionado.
  • Limite los privilegios lo máximo posible. Otorgue a los usuarios solo el acceso necesario para realizar su trabajo. Revise los privilegios de usuarios con regularidad para determinar la relevancia con los requisitos de trabajo actuales.
  • Supervise la actividad del sistema. Establezca quién debe acceder a qué componentes del sistema y la frecuencia de acceso y, a continuación, supervise esos componentes.
  • Más información y uso de las funciones de seguridad de Oracle Cloud Infrastructure. Para obtener más información, consulte Servicios de seguridad.
  • Aplique las mejores prácticas de seguridad. Para obtener más información, consulte Mejores prácticas de seguridad.
  • Mantenerse actualizado sobre la información de seguridad. Oracle emite periódicamente actualizaciones de parches relacionados con la seguridad y alertas de seguridad. Instale todos los parches de seguridad lo antes posible. Consulte el sitio web Critical Patch Updates and Security Alerts.

Protección básica de recursos

Al planificar el despliegue de Oracle Cloud Infrastructure, tenga en cuenta qué recursos se deben proteger, cuánto acceso se debe otorgar a esos recursos y el impacto de un fallo de seguridad en esos recursos.

¿Qué recursos deben protegerse?

  • Datos de clientes, como números de tarjetas de crédito
  • Datos internos, como código fuente propio
  • Componentes del sistema (protegidos contra ataques externos o sobrecargas intencionales del sistema)

¿De quién protege los datos?

Analiza tus flujos de trabajo para determinar quién necesita acceder a qué datos. Por ejemplo, debe proteger los datos de sus suscriptores de otros suscriptores, pero alguien de su organización necesita acceder a esos datos para gestionarlos.

Considere cuidadosamente la cantidad de acceso que debe otorgar a un administrador del sistema. Es posible que un administrador del sistema pueda gestionar los componentes del sistema sin necesidad de acceder a los datos del sistema.

¿Qué sucede si fallan las protecciones en un recurso estratégico?

A veces, un fallo en su esquema de seguridad es solo un inconveniente. En otras ocasiones, un fallo puede dañar a usted o a sus clientes. Comprender las ramificaciones de seguridad de cada recurso le ayuda a protegerlo.

Modelo de seguridad compartido

La seguridad en Oracle Cloud Infrastructure es una responsabilidad compartida entre usted y Oracle. Utilizamos la mejor tecnología de seguridad y procesos operativos para proteger nuestros servicios en la nube. Sin embargo, para que puedas ejecutar tus cargas de trabajo de forma segura en OCI, debes conocer tus responsabilidades de seguridad y cumplimiento.

En un entorno informático compartido multiinquilino, somos responsables de la seguridad de la infraestructura en la nube subyacente (como las instalaciones del centro de datos y los sistemas de hardware y software). Es responsable de proteger las cargas de trabajo y de configurar de forma segura los recursos en la nube (como recursos informáticos, red, almacenamiento y base de datos).

En un servidor con hardware dedicado totalmente aislado, de inquilino único y sin software de Oracle, su responsabilidad aumenta porque es el propietario de toda la pila de software (sistemas operativos y superiores) en la que despliegue las aplicaciones. En este entorno, es responsable de las siguientes tareas:

  • Protección de las cargas de trabajo
  • Configuración segura de sus servicios (recursos informáticos, red, almacenamiento, base de datos)
  • Garantizar que los componentes de software que ejecuta en los servidores con hardware dedicado se configuran, despliegan, aplican parches y se gestionan de forma segura

En concreto, sus responsabilidades y las de Oracle se pueden dividir en las siguientes áreas.

Identity and Access Management (IAM)

Usted es responsable de proteger sus credenciales de acceso a la nube y configurar cuentas de usuario individuales. También es responsable de gestionar y revisar el acceso de sus propias cuentas de empleado y de todas las actividades que tienen lugar en su arrendamiento.

Oracle es responsable de proporcionar servicios eficaces de IAM, como gestión de identidad, autenticación, autorización y auditoría.

Seguridad de carga de trabajo

Es responsable de proteger las capas del sistema operativo y de la aplicación de las instancias informáticas contra ataques y riesgos. Esta protección incluye la aplicación de parches y sistemas operativos, la configuración de sistemas operativos y la protección contra malware y ataques de red.

Oracle es responsable de proporcionar imágenes seguras que estén reforzadas y tengan los parches más recientes. Oracle también le permite utilizar las mismas soluciones de seguridad de terceros que ya utiliza localmente.

Clasificación y conformidad de datos

Es responsable de clasificar y etiquetar correctamente los datos y cumplir las obligaciones de conformidad. También es responsable de auditar las soluciones para asegurarse de que cumplen con las obligaciones de conformidad.

Seguridad de la Infraestructura de Host

Es responsable de configurar y gestionar de forma segura los servicios de recursos informáticos (hosts virtuales, contenedores), almacenamiento (objetos, archivos, almacenamiento local, volúmenes en bloque) y plataforma (configuración de base de datos).

Oracle comparte la responsabilidad con usted para garantizar que el servicio está configurado y protegido de forma óptima. Esta responsabilidad incluye la seguridad del hipervisor y la configuración de los permisos y los controles de acceso a la red.

Seguridad de la red

Es responsable de configurar de forma segura elementos de red, como redes virtuales, equilibrio de carga, DNS y gateways. Asegúrese de que los hosts se puedan comunicar correctamente y que los dispositivos puedan conectar o montar los dispositivos de almacenamiento correctos.

Oracle es responsable de proporcionar una infraestructura de red segura. La protección L3/4 DDoS se incluye con todas las cuentas de Oracle Cloud Infrastructure y no es necesaria ninguna configuración ni control.

Protección de clientes y puntos finales

Su empresa utiliza varios sistemas de hardware y software, como dispositivos móviles y exploradores, para acceder a sus recursos en la nube. Usted es responsable de la protección de todos los clientes y puntos finales que permite acceder a los servicios de OCI.

Seguridad física

Oracle es responsable de proteger la infraestructura global que ejecuta los servicios ofrecidos en OCI. Esta infraestructura consta de hardware, software, redes e instalaciones.

Modelo de seguridad de infraestructura

El modelo de seguridad de Oracle Cloud Infrastructure se basa en personas, procesos, herramientas y una "plataforma" de seguridad común de metodologías y enfoques a partir de los cuales se crean nuestros productos.

Este modelo se aplica a los siguientes componentes principales de seguridad que se utilizan para proteger a nuestros clientes y negocios: cultura de seguridad, diseño y controles de seguridad, desarrollo de software seguro, seguridad del personal, seguridad física y operaciones de seguridad.

Cultura de seguridad

Una cultura de seguridad es fundamental para crear una organización orientada a la seguridad. Todos los miembros del equipo de OCI entienden el papel que desempeña la seguridad en nuestro negocio y participan activamente en la gestión y mejora de la estrategia de seguridad de nuestros productos. También hemos implementado los siguientes mecanismos para ayudarnos a crear y mantener una cultura consciente de la seguridad:

  • Liderazgo orientado a la seguridad: los líderes sénior participan activamente en la planificación, el control y la gestión de la seguridad. Nos definimos y evaluamos con respecto a las métricas de seguridad e incluimos la seguridad como un componente en los procesos de evaluación de equipos.
  • Experiencia incorporada: los miembros del equipo de seguridad trabajan en estrecha colaboración con los equipos de desarrollo de productos. Esta estrategia permite a nuestra organización de seguridad comprender mejor los procesos de desarrollo de productos y las arquitecturas del sistema. Este enfoque también ayuda a los equipos a resolver rápidamente los desafíos de seguridad e impulsar las iniciativas de seguridad de manera más eficaz.
  • Normas de seguridad comunes: integramos la seguridad en nuestros productos y operaciones. Por ejemplo, establecemos una línea base de estándares de seguridad. Esta línea base proporciona un único punto de referencia de seguridad y establece directrices claras y prácticas. Con frecuencia actualizamos esta línea de base para incorporar las lecciones aprendidas y reflejar los factores empresariales emergentes. También creamos materiales de soporte para ayudar a nuestros equipos a implementar controles de seguridad. Estos materiales incluyen arquitecturas de referencia, guías de implementación y acceso a expertos en seguridad.
  • Apertura, debate constructivo y escalada: los problemas de seguridad solo se pueden solucionar cuando las personas que pueden corregirlos los detecten. Alentamos la progresividad y trabajamos para crear un entorno en el que se recompense la detección temprana de problemas.
  • Formación de seguridad: contamos con un sólido programa de formación de seguridad que refuerza nuestra cultura de seguridad. Requerimos sesiones de capacitación de seguridad en profundidad para todos los nuevos empleados y capacitaciones anuales de actualización. También ofrecemos formación en seguridad adaptada a roles de trabajo específicos. Todos los desarrolladores de software asisten a una formación de desarrollo seguro que establece requisitos de seguridad básicos para el desarrollo de productos y ofrecen mejores prácticas. También ofrecemos formas atractivas e innovadoras de capacitación en concienciación sobre seguridad, como oradores invitados y foros interactivos.

Diseño y controles de seguridad

Integramos la seguridad en nuestros productos y operaciones en la nube a través de una metodología centralizada. Esta metodología define nuestro enfoque para varias áreas básicas de seguridad, y juntas estas áreas forman la base de seguridad a partir de la cual construimos nuestros productos. Este enfoque nos ayuda a aplicar las mejores prácticas y lecciones aprendidas de un producto en toda la empresa, lo que aumenta la seguridad de todos nuestros productos.

  • Autenticación de usuario y control de acceso: se utiliza un enfoque de privilegios mínimos para otorgar acceso a los sistemas de producción. Las listas aprobadas de miembros del equipo de servicio se revisan periódicamente para revocar el acceso cuando no se puede justificar la necesidad. El acceso a los sistemas de producción también requiere autenticación multifactor (MFA). El equipo de seguridad otorga tokens de MFA y los tokens de miembros inactivos están desactivados. Se registra todo el acceso a los sistemas de producción y los logs se almacenan para análisis de seguridad.
  • Gestión de cambios: seguimos un riguroso proceso de gestión y despliegue de cambios que utiliza herramientas de implementación y prueba propias. Todos los cambios implementados en nuestro entorno de producción se prueban y aprueban antes de su lanzamiento. Este proceso garantiza que los cambios funcionen según lo previsto y que se pueda realizar un rollback a un estado anterior para recuperarse correctamente de errores o problemas operativos. También realizamos un seguimiento de la integridad de las configuraciones de sistemas críticos para garantizar que coincidan con el estado esperado.
  • Gestión de vulnerabilidades: se utilizan equipos internos de prueba de introducción y expertos en el sector externos para ayudar a identificar posibles vulnerabilidades en nuestros productos. Estos expertos nos ayudan a mejorar la seguridad de nuestros productos y trabajamos para incorporar las lecciones que aprendemos en nuestro trabajo de desarrollo futuro. También exploramos periódicamente los hosts de OCI para detectar vulnerabilidades mediante escáneres estándar del sector. Determinamos si los resultados de la exploración se aplican al entorno de OCI y los equipos de productos aplican los parches necesarios según sea necesario.
  • Respuesta a incidentes: contamos con procesos y mecanismos sólidos para que podamos responder y solucionar los incidentes a medida que surjan. Los equipos de respuesta a incidentes están listos para detectar y responder a los eventos 24/7. Los miembros críticos del personal llevan dispositivos de localización para que podamos recurrir a la experiencia necesaria para resolver problemas.

    También tenemos un proceso para ayudarnos a aprender de nuestros incidentes. Realizamos análisis de causa raíz mediante nuestro proceso de acciones correctiva/acciones preventivas (CAPA). Las acciones correctivas y preventivas nos ayudan a detectar lagunas en los procesos y cambios que podemos realizar después de que se produzca un incidente. Las CAPA son un idioma común que se puede utilizar para reflejar un problema y capturar pasos para mejorar la preparación operativa futura. Las CAPA contienen la causa raíz de un problema, lo que se requiere para contener o solucionar el problema, y los pasos que se deben realizar para asegurarse de que el problema no se repite. Nuestro equipo de liderazgo revisa todas las acciones correctivas y preventivas, busca aplicaciones de todas las organizaciones en busca de lecciones aprendidas y garantiza la implantación de las acciones a tiempo.

  • Registro y supervisión de la seguridad: disponemos de mecanismos automatizados para registrar eventos relevantes para la seguridad (por ejemplo, llamadas de API y eventos de red) en la infraestructura y para supervisar los logs en busca de comportamientos anómalos. El equipo de seguridad realiza un seguimiento y clasifica las alertas generadas por los mecanismos de supervisión.
  • Seguridad de red: por defecto, las comunicaciones de los clientes con los servicios de OCI utilizan los últimos cifrados y configuraciones de seguridad de capa de transporte (TLS) para proteger los datos de los clientes en tránsito y para evitar cualquier ataque directo. Para una defensa adicional, los comandos de los clientes para los servicios se firman digitalmente mediante claves públicas para evitar la manipulación. Los servicios también despliegan mecanismos y herramientas líderes del sector para mitigar ataques distribuidos de denegación de servicio (DDoS) y mantener una alta disponibilidad.
  • Seguridad del plano de control: los hosts de backend (plano de control) de OCI se aíslan de forma segura de las instancias del cliente mediante listas de control de acceso de red (ACL). Las instancias las aprovisionan y gestionan agentes de software que deben interactuar con los hosts de backend. Solo los agentes de software autenticados y autorizados pueden interactuar correctamente con estos hosts backend. Para estos hosts, los entornos de preproducción (por ejemplo, desarrollo, prueba e integración) están separados de los entornos de producción para que cualquier actividad de desarrollo y prueba no afecte a los sistemas de producción.
  • Seguridad del servidor y gestión de medios: nuestro equipo de seguridad de hardware es responsable de diseñar y probar la seguridad del hardware utilizado para ofrecer servicios de OCI. Este equipo trabaja con nuestra cadena de suministro y prueba los componentes de hardware para validarlos según los rigurosos estándares de seguridad de hardware de OCI. Este equipo también trabaja estrechamente con nuestras funciones de desarrollo de productos para garantizar que el hardware se pueda devolver en un estado seguro y original.
  • Destrucción segura de medios y borrado de host: las instancias de OCI se borran de forma segura después de que los clientes liberan el hardware. Este borrado seguro restaura el hardware a un estado original. Hemos vuelto a diseñar la plataforma con componentes de hardware propios que nos permiten borrar y reinicializar el hardware de manera segura. Una vez que el hardware subyacente ha llegado al final de su vida útil, el hardware se destruye de forma segura. Antes de salir de nuestros centros de datos, las unidades quedarán inutilizables mediante dispositivos de destrucción de medios líderes del sector.

Desarrollo de software seguro

El desarrollo seguro de software requiere metodologías aplicadas de forma coherente que se ajusten a objetivos y principios claros de seguridad. Creamos prácticas de seguridad en cada elemento del ciclo de vida de desarrollo de productos. Tenemos estándares formales de desarrollo de productos de seguridad que son una guía y una hoja de ruta para los desarrolladores. Estos estándares analizan áreas de conocimientos de seguridad generales, como principios de diseño y vulnerabilidades comunes, y proporcionan orientación específica sobre temas, como la validación de datos, la privacidad de datos y la gestión de usuarios.

Nuestros estándares de desarrollo de productos seguros evolucionan y se expanden con el tiempo para abordar los problemas comunes que afectan al código, las nuevas amenazas a medida que se descubren y los nuevos casos de uso de nuestros clientes. Los estándares incorporan estadísticas y lecciones aprendidas; no se encuentran aislados ni son una adición posterior al desarrollo de software. Son una parte integral de los estándares específicos del lenguaje, como C/C++, Java, PL/SQL y otros, y son la piedra angular de nuestros programas y procesos de desarrollo seguros.

El análisis de garantía de seguridad y las pruebas verifican las cualidades de seguridad de nuestros productos contra diversos tipos de ataques. Se utilizan dos grandes categorías de pruebas: análisis estático y análisis dinámico. Estas pruebas encajan de manera diferente en el ciclo de vida de desarrollo del producto y generalmente encuentran diferentes categorías de problemas, por lo que nuestros equipos de productos las utilizan juntos.

Seguridad del personal

Nos esforzamos por contratar lo mejor e invertimos en nuestros empleados. Valoramos la formación, necesitamos una formación de seguridad básica para todos nuestros empleados y también necesitamos una formación especializada para mantener a nuestros equipos informados sobre las últimas tecnologías de seguridad, vulnerabilidades y metodologías. Nuestros programas anuales de capacitación corporativa cubren nuestros programas de seguridad de la información y privacidad, entre muchos otros. También nos involucramos con varios grupos de la industria y enviamos a nuestros empleados a conferencias especializadas para colaborar con otros expertos de la industria en desafíos emergentes. Los objetivos de nuestros programas de formación de seguridad son ayudar a nuestros empleados a proteger mejor a nuestros clientes y productos, permitir que los empleados crezcan en sus áreas de conocimiento de seguridad y trabajar en nuestra misión de atraer y retener el mejor talento.

Contratamos personas con ética fuerte y buen juicio. Nuestros empleados pasan el filtrado de empleo según lo permitido por la ley, incluidas las comprobaciones de antecedentes penales y la validación de empleo anterior. También utilizamos los procesos de evaluación del rendimiento de equipos y empleados para reconocer un buen rendimiento y ayudar a nuestros equipos y empleados a identificar oportunidades de crecimiento. La seguridad es un componente de los procesos de evaluación de nuestro equipo. Este enfoque muestra el rendimiento de los equipos con respecto a nuestros estándares de seguridad y nos permite identificar las mejores prácticas y áreas de mejora para los procesos de seguridad esenciales.

Seguridad física

Los centros de datos de Oracle Cloud Infrastructure están diseñados para ofrecer seguridad y disponibilidad de los datos de clientes. Este diseño comienza con nuestro proceso de selección de sitios. Los sitios de creación de candidatos y las ubicaciones de proveedores se someten a un amplio proceso de evaluación de riesgos. Este proceso considera los siguientes criterios, entre otros: amenazas ambientales, disponibilidad y estabilidad de energía, reputación e historia de los proveedores, funciones de las instalaciones vecinas (por ejemplo, fabricación de alto riesgo o objetivos de alta amenaza) y problemas geopolíticos.

Los centros de datos de OCI se alinean con los estándares de nivel 3 o nivel 4 ANSI/TIA-942-A de Uptime Institute y Telecommunications Industry Association (TIA) y siguen la metodología de redundancia N2 para el funcionamiento de equipos esenciales. Los centros de datos que alojan servicios de OCI utilizan fuentes de energía redundantes y mantienen copias de seguridad del generador para evitar una interrupción eléctrica generalizada. Se supervisa la temperatura ambiente y la humedad de las salas de servidores y se instalan sistemas de extinción de incendios. El personal del centro de datos cuenta con formación en procedimientos de respuesta y escalada de incidentes para abordar eventos de seguridad o disponibilidad que pueden ocurrir.

Nuestro enfoque por capas de la seguridad física comienza con la construcción del sitio. Las instalaciones del centro de datos se construyen de forma duradera con acero, hormigón o materiales similares y están diseñadas para soportar el impacto de un vehículo. Nuestros sitios cuentan con guardias de seguridad que están listos para responder a los incidentes 24/7. El exterior de cada sitio está asegurado con barreras perimetrales y los vehículos son monitoreados activamente por guardias y cámaras que cubren el perímetro del edificio.

Todas las personas que entran a nuestros centros de datos primero deben pasar por la seguridad en las entradas del sitio, que cuentan con guardias de seguridad. Las personas sin distintivos de seguridad específicos del sitio deben presentar la identificación emitida por el gobierno y una solicitud de acceso aprobada al edificio del centro de datos. Todos los empleados y visitantes deben llevar siempre insignias de identificación oficiales visibles. Otras medidas de seguridad entre la entrada y las salas de servidores varían según la construcción del sitio y el perfil de riesgo.

Las salas de servidores del centro de datos cuentan con más seguridad, como cámaras que cubren las salas de servidores, control de acceso de dos factores y mecanismos de detección de intrusos. Hay barreras físicas para crear zonas de seguridad aisladas alrededor de los racks de servidores y redes que abarcan desde el suelo (incluso debajo del falso suelo si procede) hasta el techo (incluido encima del falso techo si procede).

El acceso a los centros de datos se controla cuidadosamente y sigue un enfoque de acceso con menos privilegios. El personal autorizado debe aprobar todo el acceso a las salas de servidores y el acceso solo se otorga durante el período necesario. El uso del acceso se audita y el liderazgo del centro de datos revisa periódicamente el acceso aprovisionado en el sistema. Las salas de servidores se aíslan en zonas seguras que se gestionan por zona. El acceso se aprovisiona solo para las zonas requeridas por el personal.

Operaciones de seguridad

El equipo de operaciones de seguridad de Oracle Cloud Infrastructure es responsable de supervisar y proteger el alojamiento único de OCI y las tecnologías de redes virtuales. Este equipo trabaja y forma directamente con los ingenieros de Oracle que desarrollan estas tecnologías.

Supervisamos las amenazas de seguridad de Internet emergentes e implantamos los planes de respuesta y defensa adecuados para abordar los riesgos del negocio. Cuando determinamos que se recomienden cambios urgentes y que estén en el ámbito de las responsabilidades de los clientes, emitimos boletines de alertas de seguridad para esos clientes para garantizar su protección.

Cuando un problema de seguridad detectado o informado afecta a los servidores o redes de OCI, el personal de operaciones de seguridad está disponible las 24 horas del día, los 7 días de la semana para responder, escalar o tomar las medidas correctivas necesarias. Si es necesario, escalamos y nos coordinamos con las partes externas (incluidos los proveedores de red y servicio de alojamiento, proveedores de hardware o aplicación de la ley) para proteger OCI, nuestros clientes y la seguridad y la reputación de nuestra red.

Cuando el equipo de Operaciones de Seguridad responde a un problema de seguridad, actúa de acuerdo con nuestro proceso documentado, y todas las acciones se registran de acuerdo con los requisitos de cumplimiento. Se tiene siempre especial atención a la hora de proteger los objetivos en cuanto a integridad de los servicios y los datos, privacidad y continuidad del negocio.

Protección de datos de clientes

La protección de datos de los clientes es de importancia crítica. Tomamos medidas para cumplir con todos los requisitos legales y de cumplimiento con respecto a la seguridad de los datos.

Derechos de datos y propiedad

Los clientes de Oracle Cloud Infrastructure conservan todos los derechos de propiedad y propiedad intelectual de su contenido. Nos esforzamos por ser transparentes con nuestros procesos de protección de datos y las solicitudes de aplicación de la ley que podamos recibir.

Privacidad de datos

OCI cuenta con funciones que ayudan a los clientes a alinearse con los principios comunes de privacidad de datos. Consulte Funciones de privacidad de Oracle Cloud Infrastructure.

Solicitudes de aplicación de políticas

Salvo que así lo requiera la ley, Oracle notifica sin demora a los clientes de cualquier citación, orden judicial, administrativa o arbitraria de un organismo ejecutivo o administrativo u otra autoridad gubernamental que reciba y que se relacione con los datos personales que Oracle está procesando en nombre del cliente. Cuando el cliente lo solicita, Oracle proporciona a los clientes información razonable que obre en su posesión, relevante para la solicitud de aplicación de la ley, así como toda la ayuda necesaria para responder a la solicitud de manera oportuna.

Conformidad

Operamos conforme al código de práctica ISO/IEC 27002 relativo a controles de seguridad de la información, del cual hemos extraído un conjunto completo de controles de seguridad que se aplican a nuestro negocio. Estos controles de seguridad y nuestras operaciones se someten a auditorías externas. Perseguimos un conjunto amplio de certificaciones de la industria y del gobierno, auditorías y programas de regulación. Consulte Conformidad de Oracle Cloud.